Een complete cybersecurity-aanpak voor het Nederlandse MKB. Elke dienst is opgebouwd uit aantoonbare maatregelen, herleidbaar naar NIS2, ISO 27001, CIS v8, NIST CSF 2.0 en de NCSC-richtlijnen — zo ziet u precies wat u krijgt, en kan uw auditor of verzekeraar dat ook.
Volwaardige cybersecurity bestaat uit 224 concrete maatregelen, verdeeld over 11 diensten. Een doorsnee MKB-bedrijf heeft er veelal zo'n 25 geregeld — denk aan antivirus, wat MFA en een back-up. Hieronder ziet u hoeveel daarvan elk pakket voor u afdekt: hoe verder de balk, hoe completer uw beveiliging.
Klik op een balk — of op een pakket-knop hieronder — om te zien wat dat pakket precies dekt.
“Wie kijkt er 's nachts mee?”
Continu meekijken op al uw systemen: logverzameling en -bewaring, SOC-piket, detectie-dekking en dreigingsinformatie — ook in het weekend en 's nachts.
Alle relevante logs (M365, EDR, firewall, AD, web) centraal verzameld en gecorreleerd.
Wat u krijgt: SIEM met log-ingest dashboard + coverage 90%+
NIS2: art. 21 · CIS v8: 8.1, 8.2, 8.9 · ISO 27001/27002: A.8.15 · NIST CSF 2.0: DE.AE-03
Logs minimaal 6 maanden (forensische behoefte) tot 12 maanden bewaard, conform AVG.
Wat u krijgt: Retention-beleid + storage-config
NIS2: art. 21 · CIS v8: 8.3, 8.10 · ISO 27001/27002: A.8.15
Ook relevant voor: Incident Response
Alle systemen gesynchroniseerd via NTP voor forensisch bruikbare logs.
Wat u krijgt: NTP-config + drift-monitoring via SIEM
NIS2: art. 21 · CIS v8: 8.4 · ISO 27001/27002: A.8.17
Logs van cloud-providers (M365, AWS, Azure) worden verzameld in de SIEM.
Wat u krijgt: M365/Azure-audit-logs in SIEM
CIS v8: 8.12 · ISO 27001/27002: A.8.15
Ook relevant voor: Identiteit & Toegang
Verzamel uitgebreide logs: succesvolle en mislukte logins, privileged actions, file-integrity.
Wat u krijgt: endpoint-telemetrie/Auditd-config + SIEM-decoders + alerts
CIS v8: 8.5 · ISO 27001/27002: A.8.15, A.8.18 · NIST CSF 2.0: DE.CM-03
Ook relevant voor: Endpoint Protection (EDR)
Log alle DNS-queries voor threat-hunting en C2-detectie.
Wat u krijgt: DNS-logs in SIEM met DGA-detectie
CIS v8: 8.6 · ISO 27001/27002: A.8.15
Ook relevant voor: Netwerk & Firewall
Log uitgaande HTTP/HTTPS-verbindingen voor verkeer-analyse.
Wat u krijgt: Proxy-logs of netwerksensor-HTTP-logs in SIEM
CIS v8: 8.7 · ISO 27001/27002: A.8.15
Ook relevant voor: Netwerk & Firewall
Log uitgevoerde commando's op servers en endpoints (PowerShell transcripts + bash-history).
Wat u krijgt: PowerShell-transcripts + bash-history forward naar SIEM
CIS v8: 8.8 · ISO 27001/27002: A.8.15
Ook relevant voor: Endpoint Protection (EDR)
Log wie toegang heeft tot gevoelige data en wanneer (FIM/auditd).
Wat u krijgt: File-audit logs in SIEM + alerts op anomalies
CIS v8: 3.14 · ISO 27001/27002: A.8.15
Ook relevant voor: NIS2 Voorbereiding
Logs in append-only storage voor forensische integriteit + detectie van log-manipulatie.
Wat u krijgt: WORM-opslag voor SIEM-archief + tamper-alerts
CIS v8: 8.x-immutable, 8.x-tamper · ISO 27001/27002: A.8.15
Ook relevant voor: Incident Response
Periodieke review/correlatie van logs door SOC voor afwijkingen.
Wat u krijgt: Dagelijkse SOC-review + weekrapport
NIS2: art. 21 · CIS v8: 8.11 · ISO 27001/27002: A.8.16
Tuning van rules zodat false positives onder 10% blijven.
Wat u krijgt: Maandelijks FP-rapport + tuning-actiepunten
NIS2: art. 21
24/7 monitoring met SIEM op logs, EDR-events en netwerkverkeer; SOC-piket met gegarandeerde reactietijd.
Wat u krijgt: SIEM live + alert-runbook + maandelijkse SOC-rapportage + escalatie-procedure
NIS2: art. 21.2.b, art. 21 · CIS v8: 13.1 · ISO 27001/27002: A.5.26, A.8.16 · NIST CSF 2.0: DE.AE-01, DE.CM-01
Ook relevant voor: Incident Response
Geautomatiseerde response op standaard-alerts (gecompromitteerd account, malware, phishing) via response-automatisering.
Wat u krijgt: Top-10 playbooks geconfigureerd in incident-platform/response-automatisering
NIS2: art. 21.2.b · CIS v8: 13.x-edr-soar, 17.4
Ook relevant voor: Incident Response
Maandelijks proactief zoeken naar dreigingen op basis van threat intel.
Wat u krijgt: Maandelijks threat-hunt rapport
NIS2: art. 21.2.b · NIST CSF 2.0: DE.AE-02
Ook relevant voor: Incident Response
Minimaal 50 detection-rules actief voor MITRE ATT&CK top-tactieken + coverage-rapport.
Wat u krijgt: Rule-coverage rapport tegen MITRE ATT&CK + ATT&CK-dashboard
NIS2: art. 21 · CIS v8: 13.x-mitre
Ook relevant voor: Endpoint Protection (EDR)
Monitoring of bedrijfsmail-credentials in publieke breaches verschijnen.
Wat u krijgt: Maandelijks leak-database-rapport + reset-procedure bij hit
NIS2: art. 21 · CIS v8: 7.x-breach-monitoring · ISO 27001/27002: A.5.7
Ook relevant voor: Identiteit & Toegang
Integratie van threat-intel feeds in SIEM voor IoC-detectie.
Wat u krijgt: Threat-intel-platform ingericht + SIEM-integratie
NIS2: art. 21 · ISO 27001/27002: A.5.7
Ook relevant voor: Wekelijkse Zwaktescans
Monitoring op dark-web-vermeldingen van bedrijfsdata of credentials.
Wat u krijgt: Kwartaal-rapport dark-web exposure
NIS2: art. 21
Ook relevant voor: Wekelijkse Zwaktescans
Lidmaatschap branche-CERT/ISAC, NCSC-feeds en threat-intel platform voor IoC-detectie in SIEM.
Wat u krijgt: threat-intel-platform-instantie + NL-feeds (NCSC, AbuseIPDB) + maandelijks dreigingsrapport
NIS2: art. 21 · CIS v8: 17.x-threat-intel · ISO 27001/27002: A.5.6, A.5.7 · NIST CSF 2.0: ID.RA-02
Versiecontrole van configuraties met baseline en drift-detectie via SIEM (file integrity monitoring).
Wat u krijgt: Config-baseline + drift-rapport
NIS2: art. 21.2.e · CIS v8: 4.1 · ISO 27001/27002: A.8.9 · NIST CSF 2.0: PR.PS-01
Monitoring van storage, bandbreedte, CPU om uitval te voorkomen.
Wat u krijgt: Capacity-dashboard + alerts via SIEM
ISO 27001/27002: A.8.6
Ook relevant voor: Netwerk & Firewall
Monitoren of bedrijfsdomein in datalekken voorkomt.
Wat u krijgt: Wekelijkse leak-database-scan op klantdomein + alert
ISO 27001/27002: A.5.7
Ook relevant voor: NIS2 Voorbereiding
Identificeer ongeautoriseerd cloud-gebruik door medewerkers.
Wat u krijgt: Cloud-app-discovery rapport
CIS v8: 1.x-shadow-it · ISO 27001/27002: A.5.23
Ook relevant voor: Netwerk & Firewall
“Is elke laptop een bewaakte voordeur?”
Elke laptop, server en telefoon beschermd: gedragsdetectie, hardening-baseline, schijfversleuteling, apparaatbeheer — van uitgifte tot veilige afvoer.
Standaard hardening-baseline voor Windows/Linux/Mac endpoints volgens CIS L1 + compliance-scan.
Wat u krijgt: Hardening-template + SIEM/configuratie-audit-rapport per kwartaal
NIS2: art. 21.2.e, art. 21.2.i · CIS v8: 4.1, 4.8 · ISO 27001/27002: A.8.1, A.8.9 · NIST CSF 2.0: PR.PS-01 · NCSC/CCV: Basismaatregel 4
Ook relevant voor: Wekelijkse Zwaktescans
Endpoint Detection & Response op alle endpoints met gedragsanalyse, gekoppeld aan SIEM.
Wat u krijgt: EDR-coverage rapport + maandelijkse threat-summary + Defender-logs in SIEM
NIS2: art. 21.2.i · CIS v8: 10.1, 10.2, 10.6, 10.7 · ISO 27001/27002: A.8.7 · NIST CSF 2.0: DE.CM-01, PR.PS-05 · NCSC/CCV: Basismaatregel 5
Ook relevant voor: 24/7 Bewaking
Anti-malware definities automatisch actueel houden.
Wat u krijgt: Signature-coverage rapport via SIEM
CIS v8: 10.2 · ISO 27001/27002: A.8.7
MDM voor laptops en mobiele apparaten met compliance-beleid en remote-wipe.
Wat u krijgt: Intune-config + compliance-rapport + remote-wipe procedure + test
NIS2: art. 21.2.i · CIS v8: 4.10 · ISO 27001/27002: A.7.9, A.8.1 · NIST CSF 2.0: PR.PS-01
Schermvergrendeling na max. 5-10 minuten inactiviteit via GPO/Intune.
Wat u krijgt: Auto-lock config + SIEM compliance-check
NIS2: art. 21.2.i, art. 21.2.h · CIS v8: 4.3 · ISO 27001/27002: A.7.7
Activeer en configureer een lokale firewall (Windows Defender FW / ufw / nftables) op elke endpoint.
Wat u krijgt: Windows Defender Firewall-policy via GPO + audit
CIS v8: 4.4 · ISO 27001/27002: A.8.20
Ook relevant voor: Netwerk & Firewall
Veilig thuiswerken: VPN, MFA, endpoint-hardening, geen split-tunnel.
Wat u krijgt: Telewerk-beleid + Intune-config + WireGuard-VPN
CIS v8: 4.12 · ISO 27001/27002: A.6.7
Ook relevant voor: Netwerk & Firewall
Preventief onderhoud, patches, firmware en hardware-lifecycle-register.
Wat u krijgt: Patch-management-schema + hardware-lifecycle-register
ISO 27001/27002: A.7.13
Ook relevant voor: Wekelijkse Zwaktescans
Laptops/telefoons buiten kantoor: encryptie, kabelslot, remote-wipe, travel-config.
Wat u krijgt: BitLocker/FileVault via Intune + remote-wipe procedure
CIS v8: 4.12 · ISO 27001/27002: A.7.9, A.7.10
Procedure voor data-wipe (NIST 800-88) of fysieke vernietiging van oude HDDs en mobiele apparaten.
Wat u krijgt: Wipe-/destructie-certificaat per apparaat
NIS2: art. 21.2.h · CIS v8: 3.5 · ISO 27001/27002: A.7.14
Ook relevant voor: Sparring & Advies
Activeer ASR-rules, ASLR, DEP, Controlled Folder Access op endpoints.
Wat u krijgt: ASR-rules policy + bypass-monitoring
CIS v8: 10.5 · ISO 27001/27002: A.8.7
Beleid en technische blokkade/scan voor onbekende USB-apparaten op endpoints.
Wat u krijgt: USB-blokkade/scan via Intune + monitoring via SIEM
NIS2: art. 21.2.i · CIS v8: 10.3, 10.4 · ISO 27001/27002: A.7.10
Beleid voor gebruik van prive-apparaten met zakelijke data (containerization/MAM).
Wat u krijgt: BYOD-beleid + Intune App Protection Policies
NIS2: art. 21.2.i · CIS v8: 4.11 · ISO 27001/27002: A.6.7
Ook relevant voor: Identiteit & Toegang
Schakel ongebruikte netwerkservices op endpoints uit (zoals SMBv1, Telnet).
Wat u krijgt: Service-audit-rapport gehard volgens baseline
CIS v8: 4.5, 4.8 · ISO 27001/27002: A.8.9
Ook relevant voor: Wekelijkse Zwaktescans
Beperking van uitvoerbare applicaties tot goedgekeurde lijst incl. DLL's en scripts.
Wat u krijgt: AppLocker/WDAC-policy via Intune + uitzonderingenproces + PowerShell Constrained Language
NIS2: art. 21.2.i · CIS v8: 2.3, 2.5, 2.6, 2.7 · ISO 27001/27002: A.8.19
BIOS-wachtwoord en secure-boot enforced op alle endpoints.
Wat u krijgt: BIOS-config baseline + audit
CIS v8: 4.x-bios · ISO 27001/27002: A.8.1
BIOS/UEFI/firmware regelmatig updaten op endpoints en netwerkapparatuur.
Wat u krijgt: Firmware-update beleid + audit
CIS v8: 4.x-firmware · ISO 27001/27002: A.7.13
Ook relevant voor: Wekelijkse Zwaktescans
Standaardiseer op ondersteunde browser-/mailclient-versies via baseline-policy.
Wat u krijgt: Browser-baseline policy + version-audit
CIS v8: 9.1 · ISO 27001/27002: A.8.19
Ook relevant voor: E-mailbeveiliging
Sta alleen goedgekeurde browser-extensies toe via Intune.
Wat u krijgt: Extension-allowlist via Intune
CIS v8: 9.4
Alle laptops en servers met gevoelige data versleuteld at-rest, ook DB (TDE).
Wat u krijgt: SIEM-compliance rapport op BitLocker-status per device
NIS2: art. 21.2.g · CIS v8: 3.6, 3.9, 3.11 · ISO 27001/27002: A.8.24 · NIST CSF 2.0: PR.DS-01
“Wie kan waar bij — en klopt dat nog?”
MFA, wachtwoordbeleid, in- en uitdiensttreding, beheerdersrechten en de complete Microsoft 365-tenant-inrichting.
Bijgehouden lijst van alle gebruikers- en non-human/service-accounts met eigenaar.
Wat u krijgt: Account-inventaris per kwartaal + service-account-register
CIS v8: 5.1, 5.5 · ISO 27001/27002: A.5.16 · NIST CSF 2.0: PR.AA-01
Proces dat bij in/uit/door-dienst automatisch accounts aanmaakt, wijzigt of verwijdert; audit op orphan accounts.
Wat u krijgt: JML-procedure + maandelijkse orphan-audit
NIS2: art. 21.2.h · CIS v8: 6.1, 6.2 · ISO 27001/27002: A.5.16, A.5.18, A.6.5 · NIST CSF 2.0: PR.AA-01, PR.AA-02
Deactiveer accounts die langer dan 45 dagen niet gebruikt zijn.
Wat u krijgt: Dormant-account rapport + automatische disable
CIS v8: 5.3 · ISO 27001/27002: A.5.18
Ook relevant voor: 24/7 Bewaking
Wachtwoordbeleid: lange wachtzinnen (14+ tekens), geen verplichte rotatie tenzij compromise, geen hergebruik.
Wat u krijgt: Wachtwoordbeleid NL + Entra-config + audit
NIS2: art. 21.2.i · CIS v8: 5.2 · ISO 27001/27002: A.5.17 · NIST CSF 2.0: PR.AA-01 · NCSC/CCV: Basismaatregel 2
Centraal beheerde password-manager voor alle medewerkers, inclusief admin- en service-credentials.
Wat u krijgt: wachtwoordkluis-instantie per klant + onboarding + adoption-rapport
NIS2: art. 21.2.i · CIS v8: 5.x-crypto, 14.3 · ISO 27001/27002: A.5.17
MFA verplicht voor alle gebruikers, alle internet-facing apps en remote access (VPN/RDP).
Wat u krijgt: MFA-coverage dashboard 100% via M365-audittool + Conditional Access
NIS2: art. 21.2.i, art. 21.2.j · CIS v8: 6.3, 6.4 · ISO 27001/27002: A.8.5 · NIST CSF 2.0: PR.AA-03 · NCSC/CCV: Basismaatregel 3
Ook relevant voor: NIS2 Voorbereiding
FIDO2/Passkeys of certificate-based auth voor alle admin-accounts en cloud-admin.
Wat u krijgt: Hardware-key rollout per admin + audit + MFA-fatigue-monitoring
NIS2: art. 21.2.j · CIS v8: 6.5 · ISO 27001/27002: A.8.5 · NIST CSF 2.0: PR.AA-03
Twee break-glass accounts in M365/Azure met hardware-token, alleen voor noodgevallen.
Wat u krijgt: Break-glass procedure + maandelijkse review op gebruik
NIS2: art. 21.2.i · ISO 27001/27002: A.8.2
Ook relevant voor: Incident Response
Toegangsrechten op basis van rollen (least-privilege), niet per individu.
Wat u krijgt: Rollenmatrix + jaarlijkse access-review
NIS2: art. 21.2.i · CIS v8: 6.8, 3.3 · ISO 27001/27002: A.5.15, A.5.18 · NIST CSF 2.0: PR.AA-05
M365 Conditional Access voor risico-gebaseerde toegang (locatie, device-compliance, MFA).
Wat u krijgt: CA-policies geconfigureerd + maandelijks M365-auditrapport
NIS2: art. 21.2.i · CIS v8: 6.x-extra · ISO 27001/27002: A.5.15, A.5.23 · NIST CSF 2.0: PR.AA-06
Documenteer hoe nieuwe medewerkers toegang krijgen en hoe rechten direct worden ingetrokken bij uit-dienst.
Wat u krijgt: On/off-boarding checklists + ticket-workflow + same-day audit
CIS v8: 6.1, 6.2 · ISO 27001/27002: A.5.18, A.6.5
Wijzig of schakel default accounts/wachtwoorden uit bij installatie.
Wat u krijgt: Default-creds-scan + remediation-rapport
CIS v8: 4.7 · ISO 27001/27002: A.5.17
Ook relevant voor: Wekelijkse Zwaktescans
Admin-accounts gescheiden van gebruikersaccounts; just-in-time elevation (Entra PIM) waar mogelijk.
Wat u krijgt: PAM-beleid + Entra PIM-config + maandelijkse admin-audit
NIS2: art. 21.2.i · CIS v8: 5.4, 5.x-extra · ISO 27001/27002: A.5.15, A.8.2 · NIST CSF 2.0: PR.AA-05
Halfjaarlijkse review door eigenaren op wie toegang heeft tot welke systemen.
Wat u krijgt: Review-rapport per applicatie + remediation
NIS2: art. 21.2.i · CIS v8: 6.8 · ISO 27001/27002: A.5.18, A.8.3 · NIST CSF 2.0: PR.AA-05
Ook relevant voor: NIS2 Voorbereiding
Centraliseer authenticatie via SSO voor enterprise apps.
Wat u krijgt: SSO-uitrol per app + adoption-rapport
CIS v8: 6.7 · ISO 27001/27002: A.8.5
Inventarisatie van service-accounts, geen interactief login, sterke gerandomiseerde wachtwoorden.
Wat u krijgt: Service-account register + audit-rapport
NIS2: art. 21.2.i · CIS v8: 5.5
Kwartaalreview op M365 guest accounts en externe samenwerkingen.
Wat u krijgt: Guest-account rapport + opschoning per kwartaal
NIS2: art. 21.2.i · ISO 27001/27002: A.5.18
Documenteer en beperk gedeeld accountgebruik; gebruik password-manager waar onvermijdelijk.
Wat u krijgt: Shared-account inventaris + wachtwoordkluis-records
CIS v8: 5.x-shared · ISO 27001/27002: A.5.16
Documenteer alle authenticatie-systemen (lokaal, cloud, SSO) met dependency-map.
Wat u krijgt: Auth-inventaris + dependency-map
CIS v8: 6.6
Beheer alle accounts via Active Directory of cloud identity-provider.
Wat u krijgt: Centralisatie via Entra ID + SSO-rapport
CIS v8: 5.6
Tijdelijke privileged access via approval workflow met audit-trail.
Wat u krijgt: PIM-JIT config + activations-rapport
CIS v8: 6.x-jit · ISO 27001/27002: A.8.2 · NIST CSF 2.0: PR.AA-05
Aparte (gehardende) workstation voor admin-taken, gescheiden van dagelijks werk.
Wat u krijgt: PAW-design + uitrol pilot
CIS v8: 12.8 · ISO 27001/27002: A.8.2
Ook relevant voor: Endpoint Protection (EDR)
Alles terug bij uit-dienst: laptops, telefoons, badges, sleutels, certificaten + remote-wipe.
Wat u krijgt: Offboarding-checklist + Intune-wipe-procedure
ISO 27001/27002: A.5.11, A.6.5 · NIST CSF 2.0: PR.AA-02
Ook relevant voor: Endpoint Protection (EDR)
M365-tenant systematisch hardenen volgens de CISA-baseline en de CIS-benchmark.
Wat u krijgt: Maandelijks M365-auditrapport + remediation
NIS2: art. 21.2.e, art. 21 · CIS v8: 8.x-extra, 4.x-cspm · ISO 27001/27002: A.5.23, A.5.34
Ook relevant voor: Wekelijkse Zwaktescans
Kritieke taken (betalingen, IT-admin, audit) niet bij een persoon. Compenseren met SIEM-logging bij kleine teams.
Wat u krijgt: SoD-conflict-analyse + compenserende controls in SIEM
ISO 27001/27002: A.5.3 · NIST CSF 2.0: PR.AA-05
DLP-regels in M365 (mail, OneDrive, SharePoint) tegen uitlek van gevoelige data.
Wat u krijgt: M365 DLP-policies geconfigureerd + alerts in SIEM
CIS v8: 3.13 · ISO 27001/27002: A.8.12 · NIST CSF 2.0: PR.DS-05
Ook relevant voor: E-mailbeveiliging
M365/Azure tenant-instellingen volgens CIS-baseline met continue monitoring + drift-detectie.
Wat u krijgt: Tenant-config rapport + maandelijkse drift-detectie + alerts
NIS2: art. 21.2.e, art. 21 · CIS v8: 8.x-extra, 4.x-cspm · ISO 27001/27002: A.5.23
Ook relevant voor: 24/7 Bewaking
Periodieke review van third-party OAuth-apps met toegang tot tenant-data.
Wat u krijgt: OAuth-app rapport per kwartaal + opschoning
NIS2: art. 21 · ISO 27001/27002: A.5.23
Continue compliance-check van cloud-configuratie tegen baselines.
Wat u krijgt: CSPM-rapport + remediation
CIS v8: 4.x-cspm · ISO 27001/27002: A.5.23
Ook relevant voor: Wekelijkse Zwaktescans
“Staat er een hek om uw netwerk?”
Uw netwerk afgeschermd en opgedeeld: segmentatie, firewall-reviews, inbraakdetectie, veilige Wi-Fi/VPN en versleutelde verbindingen.
Actueel overzicht van alle netwerkapparatuur + netwerk-diagrammen.
Wat u krijgt: Network-inventaris + topologie-tekening
CIS v8: 12.1, 12.4 · ISO 27001/27002: A.8.20
VLAN-segmentatie tussen kantoor, server, gast, IoT met deny-by-default firewall.
Wat u krijgt: Segmentatie-tekening + firewall-ruleset audit + netwerksensor oost-west monitoring
NIS2: art. 21, art. 21.2.i · CIS v8: 12.2, 13.4, 3.12 · ISO 27001/27002: A.8.22 · NIST CSF 2.0: PR.IR-01 · NCSC/CCV: Basismaatregel 7
Inline IDS/IPS op netwerk-perimeter + protocol-analyse (netwerksensor) met alert-correlatie in SIEM.
Wat u krijgt: IDS/IPS + netwerksensor-deployment + maandelijkse IDS-rapportage
NIS2: art. 21 · CIS v8: 13.3, 13.8 · ISO 27001/27002: A.8.20 · NIST CSF 2.0: DE.CM-01
Ook relevant voor: 24/7 Bewaking
Bedrijfs-DNS met blokkade van bekende malicious domains en threat-feeds.
Wat u krijgt: DNS-filter deployment + threat-feeds + DNS-logs in SIEM
NIS2: art. 21 · CIS v8: 9.2, 4.9 · ISO 27001/27002: A.8.23 · NIST CSF 2.0: PR.IR-01
Beveiligde VPN (WireGuard/IPsec) voor remote werk met MFA.
Wat u krijgt: VPN-deployment + access-logs in SIEM + MFA-integratie
NIS2: art. 21 · CIS v8: 12.7 · ISO 27001/27002: A.8.20
Ook relevant voor: Identiteit & Toegang
Hardenen van routers, switches, firewalls volgens best-practice baselines.
Wat u krijgt: Network-hardening checklist + audit
CIS v8: 4.2, 12.1 · ISO 27001/27002: A.8.20
Identificeer apparaten die zonder toestemming aan het netwerk hangen, isoleer of verwijder.
Wat u krijgt: Rogue-device alerts + wekelijkse review
CIS v8: 1.2, 1.3 · NIST CSF 2.0: DE.CM-03
Ook relevant voor: 24/7 Bewaking
Verzamel DHCP-logs om elk apparaat dat een IP-adres ontvangt te traceren.
Wat u krijgt: DHCP-log forwarding naar SIEM met 90 dagen retentie
CIS v8: 1.4 · ISO 27001/27002: A.8.15
Ook relevant voor: 24/7 Bewaking
Verkeer-volumetrie monitoring voor anomalie-detectie en DDoS-vroege-detectie.
Wat u krijgt: NetFlow-monitor-dashboard + flow-logs in SIEM
NIS2: art. 21 · CIS v8: 13.6 · ISO 27001/27002: A.8.16
Ook relevant voor: 24/7 Bewaking
Blokkeer toegang tot kwaadaardige of ongepaste URL's via proxy/firewall met categorieen.
Wat u krijgt: Proxy/firewall URL-filter + categorieen
CIS v8: 9.3 · ISO 27001/27002: A.8.23
Detecteer DGA en DNS-tunneling voor C2-uitlek.
Wat u krijgt: SIEM-detectieregels + netwerksensor-monitoring
CIS v8: 13.x-dns-tunnel · NIST CSF 2.0: DE.CM-01
Ook relevant voor: 24/7 Bewaking
Halfjaarlijkse review van firewall-rules op overbodige permits.
Wat u krijgt: Firewall-review rapport per halfjaar
NIS2: art. 21 · CIS v8: 13.4 · ISO 27001/27002: A.8.20
Bedrijfs-Wi-Fi met WPA3/Enterprise, gast-Wi-Fi gescheiden, rogue-AP-detectie.
Wat u krijgt: Wi-Fi audit-rapport + config
NIS2: art. 21 · ISO 27001/27002: A.8.20
DDoS-bescherming op publieke services via CDN/ISP-niveau.
Wat u krijgt: DDoS-protectie config + jaarlijkse test
NIS2: art. 21
Outbound firewall-rules beperken verbindingen tot noodzakelijke bestemmingen, alert op anomalieen.
Wat u krijgt: Egress-policy + alert op anomalieen
NIS2: art. 21 · ISO 27001/27002: A.8.20
Ook relevant voor: 24/7 Bewaking
Beheer via SSHv2/HTTPS/SNMPv3, geen Telnet/SNMPv1, bastion-host.
Wat u krijgt: Protocol-audit + bastion-config + remediation
CIS v8: 12.3, 12.6 · ISO 27001/27002: A.8.20
NAC of compliance-check voor apparaten die verbinden (Intune + conditional access).
Wat u krijgt: Compliance-check via Intune + conditional access
CIS v8: 13.5
Ook relevant voor: Identiteit & Toegang
Beveiligingsattributen van netwerkdiensten contractueel vastleggen.
Wat u krijgt: ISP/SaaS-inventaris + SLA-review
ISO 27001/27002: A.8.21
Ook relevant voor: NIS2 Voorbereiding
Vastgestelde tooling (Teams/Signal) met E2E waar nodig voor gevoelige communicatie.
Wat u krijgt: Communicatie-policy + Teams-hardening
NIS2: art. 21.2.j
Ook relevant voor: Sparring & Advies
TLS-inspectie op uitgaand verkeer voor malware-detectie, met OR-instemming.
Wat u krijgt: TLS-inspectie beleid + OR-instemming
NIS2: art. 21
Ook relevant voor: 24/7 Bewaking
Centrale authenticatie voor netwerkbeheer en 802.1X port-level access.
Wat u krijgt: RADIUS-config + admin-login-audit + 802.1X
CIS v8: 12.5, 13.10 · ISO 27001/27002: A.8.20
Ook relevant voor: Identiteit & Toegang
Filter op applicatie-niveau (DPI).
Wat u krijgt: L7-firewall-rules + reporting
CIS v8: 13.9
Lokservers en honey-files voor early-warning.
Wat u krijgt: Honeypot-deployment + alert-config
CIS v8: 13.x-honeypot
Ook relevant voor: 24/7 Bewaking
Identity-centric toegang in plaats van netwerk-perimeter.
Wat u krijgt: Zero-Trust roadmap + eerste fase
CIS v8: 12.x-zero-trust · NIST CSF 2.0: PR.AA-06
Critical-path redundantie: dubbele uplinks, HA-clusters.
Wat u krijgt: Architectuur-review + adviezen
ISO 27001/27002: A.8.14
Ook relevant voor: Back-up & Herstel
Alle publieke services minimaal TLS 1.2 met NCSC-goedgekeurde ciphers + cert-expiry monitoring.
Wat u krijgt: Maandelijkse TLS-scan + Mozilla Observatory rapport + cert-dashboard
NIS2: art. 21.2.g · CIS v8: 3.10 · ISO 27001/27002: A.8.24
Ook relevant voor: Wekelijkse Zwaktescans
“Stopt phishing vóór de inbox?”
Alles wat via de mailbox binnenkomt of uw naam misbruikt: phishing-filtering, DMARC/SPF/DKIM, gevaarlijke bijlagen en de meldknop voor medewerkers.
DMARC op p=reject voor alle eigen domeinen + DMARC-monitor-rapportage.
Wat u krijgt: DMARC-reject + maandelijks DMARC-monitor-rapport
NIS2: art. 21 · CIS v8: 9.5 · ISO 27001/27002: A.8.20 · NCSC/CCV: Basismaatregel 8
SPF strict (-all) en DKIM op alle uitgaande mail-streams.
Wat u krijgt: DNS-audit per domein + maandelijkse check
NIS2: art. 21 · CIS v8: 9.5 · ISO 27001/27002: A.8.20 · NCSC/CCV: Basismaatregel 8
Inkomende mail door anti-phishing, anti-malware en sandboxing (e-mailfilter/Defender + anti-malwarefilter).
Wat u krijgt: Filter-configuratie + maandelijkse spam/phish-rapportage
NIS2: art. 21 · CIS v8: 9.6, 9.7 · ISO 27001/27002: A.8.7 · NIST CSF 2.0: DE.CM-01
Specifiek monitoren van e-mail als grootste threat-vector (BEC, phishing, malspam).
Wat u krijgt: e-mailfilter + DMARC-monitor + URLscan integratie + alerts
ISO 27001/27002: A.5.7
Ook relevant voor: 24/7 Bewaking
Blokkeer .exe/.scr/.js etc. op mail-gateway.
Wat u krijgt: e-mailfilter attachment-policy + audit
CIS v8: 9.6 · ISO 27001/27002: A.8.7
Outlook-knop voor melden van verdachte mail door medewerkers met triage in incident-platform.
Wat u krijgt: Report-Phish-knop + triage workflow in incident-platform
CIS v8: 9.x-phishing · ISO 27001/27002: A.6.8
Ook relevant voor: Incident Response
Verdachte links in e-mail worden geanalyseerd (URL-scanner/VirusTotal) of herschreven naar een veilige link (Safe Links).
Wat u krijgt: URL-scan integratie + Safe-Links policy + alerts in SIEM
NIS2: art. 21 · CIS v8: 9.x-url-rewrite · ISO 27001/27002: A.8.7
Optie tot versleutelde e-mail voor vertrouwelijke communicatie.
Wat u krijgt: M365 message-encryption configuratie + handleiding
NIS2: art. 21.2.g · ISO 27001/27002: A.8.24, A.5.14
Monitoring op typosquatting-domeinen die merknaam misbruiken.
Wat u krijgt: Maandelijks brand-monitoring rapport
NIS2: art. 21
Ook relevant voor: 24/7 Bewaking
Versleutelde mail en secure file-transfer voor gevoelige communicatie, met NDA.
Wat u krijgt: Postmark/M365 message-encryption + secure-file-share portal
ISO 27001/27002: A.5.14 · NIST CSF 2.0: PR.DS-02
Ook relevant voor: Sparring & Advies
Kwartaal phishing-campagnes (phishing-simulatieplatform) om klikgedrag te meten en bij te scholen, incl. MFA-fatigue.
Wat u krijgt: Per kwartaal phishing-rapport met klikratio per afdeling
NIS2: art. 21.2.f · CIS v8: 14.2, 14.6 · ISO 27001/27002: A.6.3
Ook relevant voor: Sparring & Advies
“Welke zwakke plekken kent u nog niet?”
Zwakke plekken vinden en repareren vóórdat aanvallers ze misbruiken: interne en externe scans, patch-prioritering en hardening-checks.
HSTS, CSP, X-Frame-Options, Referrer-Policy op alle eigen webapps.
Wat u krijgt: Mozilla Observatory rapport per webapp
NIS2: art. 21
Beleid voor veilige softwareontwikkeling, inclusief threat modelling, code review en OWASP Top 10 training.
Wat u krijgt: SDLC-document + checklists + jaarlijkse devsec-training
NIS2: art. 21.2.e · CIS v8: 16.1, 16.9, 16.11 · ISO 27001/27002: A.8.25, A.8.28
Ook relevant voor: Sparring & Advies
Publiek proces voor melden van kwetsbaarheden door derden (security.txt).
Wat u krijgt: Responsible-disclosure-pagina + workflow
CIS v8: 16.2 · ISO 27001/27002: A.5.7
Ook relevant voor: Incident Response
SBOM voor alle gebruikte componenten en libraries + EOL-tracking.
Wat u krijgt: SBOM-generatie + maandelijks dependency-rapport + EOL-tracker
CIS v8: 16.4, 16.5 · ISO 27001/27002: A.8.30
Classificeer vulns per CVSS-score en prioriteer fix.
Wat u krijgt: CVSS-triage in ons vulnerability-managementplatform
CIS v8: 16.6 · ISO 27001/27002: A.8.8
Hardening-baselines voor in-house en gekochte apps (OWASP ASVS).
Wat u krijgt: App-config-audit + bevindingen
CIS v8: 16.7 · ISO 27001/27002: A.8.26
Log security-events in apps en forward naar SIEM.
Wat u krijgt: App-logs in SIEM + alerts
CIS v8: 16.13 · ISO 27001/27002: A.8.15
Ook relevant voor: 24/7 Bewaking
Pentest/audit zonder bedrijfsverstoring; read-only waar mogelijk.
Wat u krijgt: Pentest rules-of-engagement template
ISO 27001/27002: A.8.34
Source-code repos met access-control, MFA, geen public default.
Wat u krijgt: GitHub/Azure DevOps audit + branch-protection
ISO 27001/27002: A.8.4
Ook relevant voor: Identiteit & Toegang
Per kritisch proces/app dreigingsmodellering en threat-model-document per major release.
Wat u krijgt: Threat-model-document per major release
CIS v8: 16.3, 16.14 · ISO 27001/27002: A.8.27
Ook relevant voor: Sparring & Advies
SAST/DAST/IAST + dependency-scanning in CI/CD pipeline.
Wat u krijgt: SAST/DAST in pipeline + rapport
CIS v8: 16.10 · ISO 27001/27002: A.8.29
Aparte omgevingen voor development, test, productie met access-control + testdata-bescherming.
Wat u krijgt: Environment-segregation policy + masking-tooling
CIS v8: 16.8 · ISO 27001/27002: A.8.31, A.8.33
Ook relevant voor: Identiteit & Toegang
Code in versie-controle met access-management en branch-protection.
Wat u krijgt: Git-repo audit + access-review + branch-protection-rules
CIS v8: 16.11, 16.12 · ISO 27001/27002: A.8.4
Ook relevant voor: Identiteit & Toegang
Scan code-repo's op gelekte credentials.
Wat u krijgt: Secret-scan-rapport + remediation
CIS v8: 16.x-secret-scan · ISO 27001/27002: A.8.4
Ook relevant voor: Identiteit & Toegang
Security-eisen aan outsourced development incl. code-review.
Wat u krijgt: Contract-clausules + code-review-eisen
ISO 27001/27002: A.8.30
Ook relevant voor: NIS2 Voorbereiding
Beleid met SLA per CVSS-score (kritiek 72u, hoog 7d, medium 30d) voor OS en apps.
Wat u krijgt: Patch-beleid + maandelijkse patch-compliance rapport
NIS2: art. 21.2.e · CIS v8: 7.1, 7.2, 7.3 · ISO 27001/27002: A.8.8 · NIST CSF 2.0: PR.PS-02, ID.RA-01 · NCSC/CCV: Basismaatregel 6
Ook relevant voor: Endpoint Protection (EDR)
Maandelijkse interne kwetsbaarheidsscan met credentials op servers en netwerkapparatuur.
Wat u krijgt: Scanrapport + trendanalyse + remediation-tickets
NIS2: art. 21.2.e · CIS v8: 7.4, 7.6, 7.7 · ISO 27001/27002: A.8.8 · NIST CSF 2.0: ID.RA-01
Wekelijkse scan op publiek-toegankelijke assets (websites, VPN, mailservers) + continue attack-surface management.
Wat u krijgt: Wekelijks extern scan-rapport + ASM-dashboard
NIS2: art. 21.2.e · CIS v8: 7.5, 7.x-asm · ISO 27001/27002: A.8.8 · NIST CSF 2.0: ID.RA-01
Documenteer en track herstel van geconstateerde kwetsbaarheden met SLA per CVSS.
Wat u krijgt: Vuln-ticket-workflow + SLA-rapport
NIS2: art. 21.2.e · CIS v8: 7.7, 16.6
Ook relevant voor: Inzicht & Rapportage
Halfjaarlijkse diepe DAST-scan op eigen webapplicaties tegen OWASP Top 10.
Wat u krijgt: DAST-rapport per webapp + remediation-plan
NIS2: art. 21.2.e · CIS v8: 7.5 · ISO 27001/27002: A.8.29
Systemen gehard volgens CIS Benchmarks of vergelijkbare baselines met drift-detectie.
Wat u krijgt: configuratie-audit-rapport per kwartaal
NIS2: art. 21.2.e · CIS v8: 4.1 · ISO 27001/27002: A.8.9
Ook relevant voor: Endpoint Protection (EDR)
Jaarlijkse pentest door externe partij op kritieke systemen (externe + assume-breach interne pentest).
Wat u krijgt: Pentest-rapport + remediation-tracker
NIS2: art. 21.2.e · CIS v8: 18.1, 18.2, 18.3, 18.4 · ISO 27001/27002: A.8.34
Realistische aanvaller-simulatie + gezamenlijke red+blue oefening om SOC-detectie te valideren.
Wat u krijgt: Red-/purple-team rapport + detectie-gaps + IR-validatie
CIS v8: 18.5, 18.x-purple · NIST CSF 2.0: ID.IM-02
Ook relevant voor: 24/7 Bewaking
Beleid voor coordinated vulnerability disclosure conform NCSC-leidraad.
Wat u krijgt: CVD-beleid NL gepubliceerd op website + security.txt
NIS2: art. 21 · CIS v8: 18.x-bug-bounty, 16.2 · ISO 27001/27002: A.5.7
Ook relevant voor: Sparring & Advies
Periodieke meting of geimplementeerde controls daadwerkelijk werken (purple-team / interne audit).
Wat u krijgt: Halfjaarlijks effectiviteits-rapport
NIS2: art. 21.2.e · ISO 27001/27002: Clause 9.1 · NIST CSF 2.0: ID.IM-01
Ook relevant voor: 24/7 Bewaking
“Kunt u terug na ransomware?”
De vraag die telt: kunnen we terug? 3-2-1-1-0-strategie, onveranderbare back-ups, hersteltests en continuïteitsplannen.
3 kopieen, 2 verschillende media, 1 offsite, 1 immutable, 0 fouten bij restore-test.
Wat u krijgt: Backup-beleid + SIEM-monitor op back-upsoftware/Veeam-jobs
NIS2: art. 21.2.c · CIS v8: 11.1, 11.2, 11.3 · ISO 27001/27002: A.8.13 · NIST CSF 2.0: PR.DS-11 · NCSC/CCV: Basismaatregel 9
Ook relevant voor: NIS2 Voorbereiding
Ten minste een backup-kopie met object-lock zodat ransomware deze niet kan versleutelen.
Wat u krijgt: WORM-opslag bucket + retentiebeleid
NIS2: art. 21.2.c · CIS v8: 11.4 · ISO 27001/27002: A.8.13
Ook relevant voor: Incident Response
Alerts bij gefaalde of skipped backup-jobs (back-upsoftware/Veeam-logs).
Wat u krijgt: SIEM-rules op backup-logs
NIS2: art. 21.2.c · CIS v8: 11.x-backup-monitor
Ook relevant voor: 24/7 Bewaking
Elk kwartaal aantoonbaar herstellen van willekeurig systeem uit backup binnen RTO.
Wat u krijgt: Restore-test rapportage per kwartaal + RTO-meting
NIS2: art. 21.2.c · CIS v8: 11.5 · ISO 27001/27002: A.8.13
Ook relevant voor: Incident Response
Simuleer ransomware en test volledige restore jaarlijks.
Wat u krijgt: Jaarlijkse ransomware-recovery test
NIS2: art. 21.2.c · CIS v8: 11.x-ransomware-test
Ook relevant voor: Incident Response
Document met technische en organisatorische stappen om IT-infrastructuur te herstellen na ramp.
Wat u krijgt: DRP-document + jaarlijkse DR-oefening
NIS2: art. 21.2.c · ISO 27001/27002: A.5.30 · NIST CSF 2.0: RC.RP-01
Ook relevant voor: Incident Response
Plan om kritieke processen te continueren bij IT-uitval, inclusief workarounds.
Wat u krijgt: BCP-document met workaround-procedures per proces
NIS2: art. 21.2.c · ISO 27001/27002: A.5.29, A.5.30
Ook relevant voor: Incident Response
“Wat gebeurt er als het tóch misgaat?”
Het moment dat het misgaat: responsplan, triage, crisisteam, forensiek én de volledige wettelijke meldketen (NIS2 en AVG).
Geschreven plan met rollen (RACI), escalatiepaden, communicatie en herstelstappen.
Wat u krijgt: IRP-document NL + RACI + top-10 runbooks
NIS2: art. 21.2.b · CIS v8: 17.1, 17.5 · ISO 27001/27002: A.5.24, A.5.26 · NIST CSF 2.0: RS.MA-01
Ook relevant voor: NIS2 Voorbereiding
Categorisering van incidenten (P1-P4) met SLA voor reactie en escalatie naar bestuur.
Wat u krijgt: Classificatie-matrix + escalatie-flowchart + triage-runbooks
NIS2: art. 21.2.b · CIS v8: 17.9 · ISO 27001/27002: A.5.25
Duidelijke route voor medewerkers om incidenten te melden + onboarding-module.
Wat u krijgt: Meld-incident formulier + leeromgeving-module
CIS v8: 17.3 · ISO 27001/27002: A.6.8
Ook relevant voor: Sparring & Advies
Na elk significant incident een evaluatie met root-cause-analyse en verbeteracties.
Wat u krijgt: PIR-rapport binnen 10 werkdagen / 2 weken na incident
NIS2: art. 21.2.b · CIS v8: 17.8 · ISO 27001/27002: A.5.27 · NIST CSF 2.0: RC.IM-01
Proces om binnen 24 uur na detectie melding te doen bij NCSC/CSIRT.
Wat u krijgt: Meldformulier-template + 24/7 piket-procedure
NIS2: art. 23 · CIS v8: 17.x-nis2
Ook relevant voor: NIS2 Voorbereiding
Formele incident-melding binnen 72u met impact-inschatting en initiele root-cause.
Wat u krijgt: Incident-rapportage template + audit-trail
NIS2: art. 23
Ook relevant voor: NIS2 Voorbereiding
Uitgebreid eindrapport binnen 1 maand met root-cause, mitigatie en restrisico's.
Wat u krijgt: Eindrapport-template
NIS2: art. 23
Ook relevant voor: NIS2 Voorbereiding
Proces om afnemers binnen redelijke termijn te informeren bij significant incident.
Wat u krijgt: Klant-notificatie template NL + distributiekanaal
NIS2: art. 23
Ook relevant voor: NIS2 Voorbereiding
Vooraf benoemd crisisteam met rollen, contactgegevens en 24/7 escalatie-protocollen.
Wat u krijgt: Crisis-rolverdeling + 24/7 contactlijst + ICT-noodkaart
NIS2: art. 21.2.c · CIS v8: 17.2 · ISO 27001/27002: A.5.24
Halfjaarlijkse oefening met directie en IT op realistisch scenario (ransomware/BEC/leak).
Wat u krijgt: Tabletop-draaiboek + 2x per jaar uitvoering + evaluatierapport
NIS2: art. 21.2.b · CIS v8: 17.7 · ISO 27001/27002: A.5.30 · NIST CSF 2.0: ID.IM-02
Ook relevant voor: Sparring & Advies
Vooraf opgestelde communicatie naar klanten, pers, toezichthouder en medewerkers bij grote incidenten.
Wat u krijgt: Communicatie-templates NL + persvoorlichter-contact
NIS2: art. 21.2.c · ISO 27001/27002: A.5.24
Mogelijkheid tot live forensisch onderzoek op endpoints en servers bij een incident, met onze forensische tooling.
Wat u krijgt: Forensische tooling stand-by + forensisch draaiboek + beveiligde bewijsopslag
NIS2: art. 21.2.b · CIS v8: 17.x-extra · ISO 27001/27002: A.5.28 · NIST CSF 2.0: RS.AN-04
Ook relevant voor: Endpoint Protection (EDR)
Vooraf vastleggen wie waar belt bij incident: NCSC, CSIRT, politie, AP. Inclusief NIS2-meldplicht en AVG-datalek.
Wat u krijgt: Contactkaart + meldformulieren + integratie in IR-playbook
NIS2: art. 21, art. 23 · ISO 27001/27002: A.5.5 · NIST CSF 2.0: RS.CO-04
Ook relevant voor: NIS2 Voorbereiding
AVG art. 33 procedure voor datalek-melding aan Autoriteit Persoonsgegevens binnen 72 uur.
Wat u krijgt: AP-meldformulier-procedure + datalek-register
NIS2: art. 23 · CIS v8: 3.x-avg, 17.9
Ook relevant voor: NIS2 Voorbereiding
Procedure voor melding bij meerdere EU CSIRTs als incident grensoverschrijdend is.
Wat u krijgt: Multi-jurisdictie meldprocedure
NIS2: art. 23
Ook relevant voor: NIS2 Voorbereiding
Out-of-band communicatiemiddel voor crisis (Signal/SMS-piket) als hoofdkanaal down is.
Wat u krijgt: Signal/SMS-piket-lijst + protocol + test
NIS2: art. 21.2.j · CIS v8: 17.6 · ISO 27001/27002: A.5.30
Ook relevant voor: Netwerk & Firewall
“Kunt u het ook aantonen?”
Het venster op alle 224 maatregelen: executive dashboard, directie-rapportage en de actuele inventaris van hardware, software en cloud.
Volledige lijst van alle endpoints, servers, netwerkapparatuur en IoT met eigenaar en classificatie.
Wat u krijgt: Asset-register gekoppeld aan de SIEM + maandelijks wijzigingsrapport
NIS2: art. 21.2.a · CIS v8: 1.1 · ISO 27001/27002: A.5.9 · NIST CSF 2.0: ID.AM-01 · NCSC/CCV: Basismaatregel 1
Inventarisatie van alle geinstalleerde software en SaaS-diensten met data-classificatie en EOL-status.
Wat u krijgt: SaaS-register + shadow-IT scan via M365 + SIEM software-inventaris + EOL-rapport
NIS2: art. 21.2.a · CIS v8: 2.1, 2.2, 2.4 · ISO 27001/27002: A.5.9, A.5.32 · NIST CSF 2.0: ID.AM-02
Ook relevant voor: 24/7 Bewaking
Per kwartaal rapportage aan directie over KPI's, incidenten, risico's en NIS2-zorgplicht-status.
Wat u krijgt: Kwartaal-rapportage in PDF (rapportage-engine)
NIS2: art. 20, art. 21 · ISO 27001/27002: Clause 9.3 · NIST CSF 2.0: GV.OV-01
Ook relevant voor: NIS2 Voorbereiding
Asset-inventaris specifiek voor cloud-tenants (M365, Azure, AWS) met costing.
Wat u krijgt: Cloud-asset rapport + costing
CIS v8: 1.x-cloud · ISO 27001/27002: A.5.9, A.5.23 · NIST CSF 2.0: ID.AM-02
Meetbare doelen (MFA-coverage 100%, patch-SLA 30d, MTTD/MTTR) met directie-akkoord.
Wat u krijgt: KPI-dashboard + maandrapport
ISO 27001/27002: Clause 6.2, Clause 9.1 · NIST CSF 2.0: ID.IM-03, DE.AE-08
Ook relevant voor: Sparring & Advies
Meten en rapporteren van Mean Time To Detect en Respond per incident-categorie.
Wat u krijgt: Maandelijks MTTD/MTTR-rapport
NIS2: art. 21 · NIST CSF 2.0: DE.AE-08, RS.AN-08
Ook relevant voor: Incident Response
Centrale opslag van bewijslast (logs, screenshots, rapporten) voor audit per control.
Wat u krijgt: Evidence-repository met index per control
NIS2: art. 21 · ISO 27001/27002: Clause 7.5
Ook relevant voor: NIS2 Voorbereiding
Top-level dashboard voor MT met cybersecurity-KPI's.
Wat u krijgt: Management-dashboard + maandrapport
NIS2: art. 20, art. 21 · CIS v8: 8.x
“Wie denkt er met u mee?”
Beleid, mensen en gebouw: governance-documenten, awareness-training en de fysieke beveiliging van uw serverruimte.
Beleid met toegestane algoritmen, sleutellengtes en lifecycle (NCSC IT-beveiligingsrichtlijn TLS).
Wat u krijgt: Cryptografiebeleid NL + jaarlijkse review
NIS2: art. 21.2.g · ISO 27001/27002: A.8.24 · NIST CSF 2.0: PR.DS-02
Ook relevant voor: NIS2 Voorbereiding
Overkoepelend, door directie vastgesteld informatiebeveiligingsbeleid met scope, doelen, rollen en jaarlijkse review. Vormt het fundament van het ISMS.
Wat u krijgt: Beleidsdocument NL (10-15 p.) + directie-akkoord + jaarlijkse review-sessie
NIS2: art. 21.2.a, art. 21 · ISO 27001/27002: A.5.1, Clause 5 · NIST CSF 2.0: GV.PO-01, GV.PO-02 · NCSC/CCV: Basismaatregel 1
Ook relevant voor: NIS2 Voorbereiding
RACI-matrix voor cybersecurity-rollen (directie, CISO-as-a-Service, IT-beheer, FG, asset-owners).
Wat u krijgt: RACI-document + functieprofielen + jaarlijkse update
NIS2: art. 21, art. 21.2.a · ISO 27001/27002: A.5.2 · NIST CSF 2.0: GV.RR-01, GV.RR-02
Ook relevant voor: NIS2 Voorbereiding
Beleid voor verantwoord gebruik van IT-middelen, ondertekend door elke medewerker.
Wat u krijgt: AUP-document NL + ondertekend HR-dossier
NIS2: art. 21.2.f, art. 21.2.h · ISO 27001/27002: A.5.10
Run-books voor alle kritieke IT- en security-handelingen (onboarding, offboarding, patching, IR, backup-restore).
Wat u krijgt: Procedure-bibliotheek + jaarlijkse review
ISO 27001/27002: A.5.37, Clause 7.5
Alle medewerkers, contractors en leveranciers tekenen NDA.
Wat u krijgt: NDA-modellen NL/EN + getekend per persoon in HR-dossier
NIS2: art. 21.2.h · ISO 27001/27002: A.6.2, A.6.6
Bepaal interne/externe issues en belanghebbende partijen voor ISMS-scope.
Wat u krijgt: Context-analyse + stakeholder-register
ISO 27001/27002: Clause 4 · NIST CSF 2.0: GV.OC-01, GV.OC-02
Ook relevant voor: NIS2 Voorbereiding
Procedures voor sleutelgeneratie, opslag, rotatie en vernietiging + key-inventory.
Wat u krijgt: Key-management procedure + key-inventory
NIS2: art. 21.2.g · ISO 27001/27002: A.8.24
Ook relevant voor: Identiteit & Toegang
Security-checklist en review-template bij elke IT-aanschaf of project.
Wat u krijgt: Project-security-checklist + review-template
ISO 27001/27002: A.5.8 · NIST CSF 2.0: GV.SC-01
Indeling van data in niveaus (publiek/intern/vertrouwelijk/geheim) met M365 sensitivity labels.
Wat u krijgt: Classificatieschema NL + M365 sensitivity labels + watermerken
NIS2: art. 21.2.a · CIS v8: 3.1, 3.7 · ISO 27001/27002: A.5.12, A.5.13 · NIST CSF 2.0: ID.AM-07
Bewaarbeleid voor records (financieel, HR, audit-logs) met WORM-storage.
Wat u krijgt: Bewaarbeleid-document + WORM-opslag
ISO 27001/27002: A.5.33 · NIST CSF 2.0: PR.DS-01
Beleid voor versiebeheer, review-cyclus en archivering van security-documenten.
Wat u krijgt: Document-management procedure + repository
NIS2: art. 21 · ISO 27001/27002: Clause 7.5
Achtergrondcheck (VOG) voor medewerkers met toegang tot gevoelige systemen.
Wat u krijgt: VOG-administratie in HR-dossier
NIS2: art. 21.2.h · ISO 27001/27002: A.6.1
Vastgelegd proces voor sancties bij overtreding van security-beleid.
Wat u krijgt: Disciplinair beleid (HR + IT)
NIS2: art. 21.2.h · ISO 27001/27002: A.6.4
Cyberverzekering met voldoende dekking, afgestemd op restrisico's.
Wat u krijgt: Polis-review jaarlijks + dekkings-audit
NIS2: art. 21 · Cyberverzekering: Hiscox, Chubb, Allianz, AIG
Ook relevant voor: Inzicht & Rapportage
Registratie van non-conformiteiten + corrective actions; continue verbetering.
Wat u krijgt: NC/CA-register + kwartaal-rapportage
ISO 27001/27002: Clause 10 · NIST CSF 2.0: ID.IM-01, ID.IM-02
Ook relevant voor: Inzicht & Rapportage
Procedure voor wijzigingen aan productiesystemen met goedkeuring, test, rollback en logging.
Wat u krijgt: Change-management beleid + change-log
NIS2: art. 21.2.e · ISO 27001/27002: A.8.32
Deelname aan sectoraal Information Sharing & Analysis Centre.
Wat u krijgt: ISAC-lidmaatschap + maandelijkse threat-intel deling
NIS2: art. 21, art. 29 · ISO 27001/27002: A.5.6
Ook relevant voor: 24/7 Bewaking
Kanaal waar medewerkers anoniem security-zorgen kunnen melden.
Wat u krijgt: Security@-mailbox + procedure
NIS2: art. 21
Halfjaarlijkse directie-review van ISMS-werking, doelen en KPI's.
Wat u krijgt: Management-review notulen + actiepunten
NIS2: art. 20, art. 21 · ISO 27001/27002: Clause 9.3
Ook relevant voor: Inzicht & Rapportage
Periodieke externe review/audit van ISMS, ter voorbereiding op ISO 27001-certificering.
Wat u krijgt: Jaarlijkse externe review-rapport
ISO 27001/27002: A.5.35
Ook relevant voor: NIS2 Voorbereiding
Toegangscontrole tot ruimtes met IT-apparatuur, met pas-systeem en logging.
Wat u krijgt: Toegangsbeleid + bezoekersregistratie + logboek per kwartaal
NIS2: art. 21.2.h · CIS v8: 4.x-physical · ISO 27001/27002: A.7.1, A.7.2, A.7.3
Ook relevant voor: NIS2 Voorbereiding
Beleid dat schermen vergrendeld worden en gevoelige documenten niet open liggen.
Wat u krijgt: Clean-desk policy + steekproef-audits + GPO auto-lock
NIS2: art. 21.2.h · ISO 27001/27002: A.7.7
Ook relevant voor: Endpoint Protection (EDR)
Brandblusser/branddetectie geschikt voor IT-omgevingen.
Wat u krijgt: Brandcertificaat + jaarlijkse keuring
NIS2: art. 21.2.h · ISO 27001/27002: A.7.5
UPS voor kritieke IT-apparatuur met automatische graceful shutdown.
Wat u krijgt: UPS-monitoring via SIEM + jaarlijkse test
NIS2: art. 21.2.h · ISO 27001/27002: A.7.5, A.7.11
Ook relevant voor: 24/7 Bewaking
Inbraakalarm en cameratoezicht op locaties met IT-apparatuur + alarm-logs in SIEM.
Wat u krijgt: Alarmcertificaat + jaarlijkse review
NIS2: art. 21.2.h · ISO 27001/27002: A.7.4
Ook relevant voor: 24/7 Bewaking
Netwerk- en stroomkabels beschermd tegen knip/tap.
Wat u krijgt: Walk-through audit serverkast
ISO 27001/27002: A.7.12
Ook relevant voor: Netwerk & Firewall
Regels voor werk in serverruimte/kluis met logboek.
Wat u krijgt: Procedure + logboek-template
ISO 27001/27002: A.7.6, A.7.8
Jaarlijkse verplichte e-learning voor alle medewerkers over phishing, wachtwoorden, social engineering.
Wat u krijgt: leeromgeving-cursus + voltooiingsrapport per medewerker
NIS2: art. 21.2.f · CIS v8: 14.1, 14.2, 14.3, 14.4 · ISO 27001/27002: A.6.3 · NIST CSF 2.0: PR.AT-01 · NCSC/CCV: Basismaatregel 10
Ook relevant voor: NIS2 Voorbereiding
Elke nieuwe medewerker krijgt binnen 1e werkweek security-onboarding met getekend AUP.
Wat u krijgt: Onboarding-checklist + getekend AUP + leeromgeving-module
NIS2: art. 21.2.f · CIS v8: 14.x-onboarding · ISO 27001/27002: A.6.3
Verdiepte training voor IT-beheerders (secure config + IR), developers (secure coding), finance (CEO-fraud).
Wat u krijgt: Role-based curriculum in leeromgeving + assessment
NIS2: art. 21.2.f · CIS v8: 14.9, 16.9 · ISO 27001/27002: A.6.3, A.8.28
Ook relevant voor: Wekelijkse Zwaktescans
Maandelijkse korte communicatie met actuele dreigingen en tips.
Wat u krijgt: Maandelijkse NL-nieuwsbrief
NIS2: art. 21.2.f
“Bent u klaar voor de toezichthouder?”
De wettelijke kant: scope-bepaling, gap-analyse, risicoregister, bestuurdersaansprakelijkheid en de complete leveranciersketen.
Directie keurt jaarlijks zorgplicht-maatregelen formeel goed (notulen) en is persoonlijk aansprakelijk onder NIS2 art. 20.
Wat u krijgt: Directiebesluit-document + getekende deelname training
NIS2: art. 20, art. 21 · ISO 27001/27002: A.5.4, Clause 5 · NIST CSF 2.0: GV.OC-01, GV.RR-01
Ook relevant voor: Sparring & Advies
Verplichte cyber-training voor bestuurders/directie over NIS2-zorgplicht, CEO-fraud, spear-phishing en persoonlijke aansprakelijkheid.
Wat u krijgt: Halve dag training + getekende deelname + jaarlijkse refresh
NIS2: art. 20, art. 21.2.f · CIS v8: 14.x-leadership · ISO 27001/27002: A.6.3 · NIST CSF 2.0: PR.AT-02
Organisatie geregistreerd bij CSIRT/NCSC met correcte contactgegevens voor NIS2-meldplicht en threat-intel.
Wat u krijgt: NCSC-registratie + jaarlijkse update contactgegevens
NIS2: art. 21, art. 23
Ook relevant voor: Incident Response
Formele vaststelling of organisatie essentieel of belangrijk is onder NIS2 / Cyberbeveiligingswet.
Wat u krijgt: NIS2-scope determination rapport + onderbouwing
NIS2: art. 21, art. 2
Formeel beleid dat jaarlijks een cyber-risicoanalyse voorschrijft, met scope, methodiek en directie-eigenaarschap.
Wat u krijgt: Risicoanalyse-beleidsdocument NL + jaarlijkse risk-register update
NIS2: art. 21.2.a · ISO 27001/27002: Clause 6.1 · NIST CSF 2.0: ID.RA-01, ID.RA-05
Ook relevant voor: Sparring & Advies
Per bedrijfsproces vaststellen wat de impact is van uitval (financieel, operationeel, reputatie, juridisch) met RTO/RPO.
Wat u krijgt: BIA-rapport met RTO/RPO per proces
NIS2: art. 21.2.a, art. 21.2.c · ISO 27001/27002: A.5.30 · NIST CSF 2.0: ID.BE-03
Ook relevant voor: Back-up & Herstel
AVG-compliance: verwerkingsregister, DPIA-template, rechten-van-betrokkenen-procedure.
Wat u krijgt: Verwerkingsregister + DPIA-template + recht-verzoek-procedure
NIS2: art. 21 · ISO 27001/27002: A.5.34
Overzicht van toepasselijke wet- en regelgeving (AVG, NIS2, sectorspecifiek) + IP/licentie-beheer.
Wat u krijgt: Compliance-register + halfjaarlijkse update
NIS2: art. 21 · ISO 27001/27002: A.5.31, A.5.32
Ook relevant voor: Sparring & Advies
Jaarlijkse meting van NIS2-compliance niveau met gap-rapportage en roadmap.
Wat u krijgt: NIS2-gap-rapport + roadmap
NIS2: art. 21
Bijgehouden register van risico's, mitigaties en directie-akkoord op restrisico's. Inclusief Statement of Applicability.
Wat u krijgt: GRC-platform-export + SoA + directie-getekend restrisico-document per kwartaal
NIS2: art. 21.2.a · ISO 27001/27002: Clause 6.1 · NIST CSF 2.0: ID.RA-06, GV.RM-04
Ook relevant voor: Sparring & Advies
Per kritisch proces dreigingsmodellering tegen actuele dreigingen (NCSC CSAN, ENISA threat landscape).
Wat u krijgt: Dreigingsrapport per business-proces, jaarlijks ge-updatet
NIS2: art. 21.2.a · ISO 27001/27002: Clause 6.1 · NIST CSF 2.0: ID.RA-03
Ook relevant voor: Sparring & Advies
Identificeer waar gevoelige data staat (file-shares, cloud, DB) en hoe het stroomt tussen systemen/partijen.
Wat u krijgt: Data-mapping + data-flow diagrammen per kritisch proces
CIS v8: 3.2, 3.8 · ISO 27001/27002: A.5.9, A.5.12 · NIST CSF 2.0: ID.AM-03
Ook relevant voor: Sparring & Advies
Houd data niet langer dan nodig conform AVG en bedrijfsbeleid; wis veilig.
Wat u krijgt: Retentie-policy + automatische opschoonscripts + disposal-bewijslogboek
CIS v8: 3.4, 3.5 · ISO 27001/27002: A.5.33, A.8.10
Ook relevant voor: Sparring & Advies
Toetsing of beleid daadwerkelijk wordt nageleefd via technische scans.
Wat u krijgt: Kwartaal-compliance-audit + configuratie-audit-scans
ISO 27001/27002: A.5.36
Ook relevant voor: Wekelijkse Zwaktescans
Jaarlijkse interne audit op werking van zorgplicht-maatregelen en ISMS.
Wat u krijgt: Audit-rapport + remediation-tracker
NIS2: art. 21 · ISO 27001/27002: Clause 9.2
Ook relevant voor: Sparring & Advies
Maskeren/pseudonimiseren van persoonsgegevens in non-prod omgevingen.
Wat u krijgt: Masking-procedure + tooling
ISO 27001/27002: A.8.11
Inventarisatie van alle IT-leveranciers en SaaS-aanbieders met risicoscore/criticaliteit.
Wat u krijgt: Leveranciersregister met risicoscore per vendor
NIS2: art. 21.2.d · CIS v8: 15.1 · ISO 27001/27002: A.5.19 · NIST CSF 2.0: GV.SC-04
Securityclausules in contracten (SLA, breach-notificatie, audit-recht, AVG-VWO).
Wat u krijgt: Standaard security-bijlage NL + vendor-security-policy template
NIS2: art. 21.2.d · CIS v8: 15.2, 15.4 · ISO 27001/27002: A.5.20
Ook relevant voor: Sparring & Advies
VWO met elke partij die persoonsgegevens namens de organisatie verwerkt.
Wat u krijgt: VWO-register + jaarlijkse review
NIS2: art. 21.2.d
Per kritieke leverancier risicoanalyse op cyber-volwassenheid en concentratierisico.
Wat u krijgt: Supplier risk assessment-rapport
NIS2: art. 21.2.d · CIS v8: 15.3 · ISO 27001/27002: A.5.19, A.5.21 · NIST CSF 2.0: GV.SC-07
Standaard-vragenlijst (SIG/CAIQ) jaarlijks naar kritieke leveranciers.
Wat u krijgt: NL-vragenlijst + jaarlijkse uitvraag + scorecard
NIS2: art. 21.2.d · CIS v8: 15.5 · ISO 27001/27002: A.5.19, A.5.22
Risicobeheer van software-supply chain (Log4Shell-scenario's) via SBOM-vereisten.
Wat u krijgt: SBOM-vereisten + dependency-monitoring
NIS2: art. 21.2.d · CIS v8: 16.4 · ISO 27001/27002: A.5.21
Ook relevant voor: Wekelijkse Zwaktescans
Inventarisatie van subprocessors van kritieke leveranciers.
Wat u krijgt: Subprocessor-overzicht in leveranciersregister
NIS2: art. 21.2.d
Plan voor data-export en service-overdracht als kritieke leverancier wegvalt.
Wat u krijgt: Exit-strategie-document per leverancier + offboarding-checklist
NIS2: art. 21.2.d · CIS v8: 15.7
Ook relevant voor: Sparring & Advies
Continue monitoring van security-status van kritische leveranciers (incl. leak-database, breach-monitoring).
Wat u krijgt: Vendor-monitoring dashboard
CIS v8: 15.6 · ISO 27001/27002: A.5.22
Ook relevant voor: 24/7 Bewaking
Scan file-shares en endpoints op BSN, creditcard, PII.
Wat u krijgt: Sensitive-data scan-rapport
CIS v8: 3.x-data-discovery · ISO 27001/27002: A.5.12
Ook relevant voor: Wekelijkse Zwaktescans
896 controls uit 7 normenkaders, teruggebracht tot 224 unieke maatregelen — dubbelingen eruit, normverwijzingen aan elkaar gekoppeld. Eén implementatie levert bewijs voor meerdere audits tegelijk.
| Framework | Controls (bron) | Relevantie |
|---|---|---|
| NIS2 / Cyberbeveiligingswet | 136 | NIS2 (geïmplementeerd via de Nederlandse Cyberbeveiligingswet, deadline 17 juli 2026) is de grootste sales-katalysator voor het MKB op dit moment. De … |
| CIS Controls v8.1 | 189 | CIS Controls v8.1 (Center for Internet Security) is wereldwijd de meest praktische cybersecurity-baseline voor MKB-organisaties. De 18 controls met 15… |
| ISO 27001:2022 / ISO 27002:2022 | 109 | ISO 27001:2022 is de internationale norm voor Information Security Management Systems (ISMS). De bijbehorende ISO 27002:2022 bevat 93 controls verdeel… |
| NIST Cybersecurity Framework 2.0 | 106 | NIST CSF 2.0 (gepubliceerd februari 2024) is de wereldwijde de-facto standaard voor cybersecurity-governance en bestaat uit 6 functies (Govern, Identi… |
| NCSC NL basismaatregelen + CCV Keurmerk Digitale Basisveiligheid | 104 | Het NCSC publiceert sinds 2021 acht basismaatregelen voor cyberveiligheid die in NL gelden als de facto minimum-baseline voor MKB. Het CCV Keurmerk Di… |
| AVG art. 32 + DPIA-controls + EDPB Guidelines | 133 | De AVG (GDPR) is sinds 2018 verplicht voor elke Nederlandse organisatie die persoonsgegevens verwerkt — dus letterlijk elk MKB-bedrijf. Voor het MKB i… |
| DORA + IEC 62443 + PCI DSS v4 + Cyberverzekering-eisen | 119 | Sector-specifieke frameworks die het Nederlandse MKB tegenkomt afhankelijk van branche: DORA (Digital Operational Resilience Act) voor financiele dien… |
| Norm | Base | Base + | Max | Totaal |
|---|---|---|---|---|
| NIS2 | 72 | 118 | 139 | 140 |
| CIS v8 | 64 | 116 | 140 | 142 |
| ISO 27001/27002 | 82 | 152 | 181 | 183 |
| NIST CSF 2.0 | 39 | 60 | 66 | 67 |
| NCSC/CCV | 12 | 12 | 12 | 12 |
Geen monteur aan de deur, geen weken aan projectplannen. Wij gebruiken bewezen open-source componenten die snel uit te rollen zijn.
9 vragen, 15 minuten. Wij bepalen uw risicoklasse 1-4 volgens NCSC-methodiek en kiezen het juiste maatregelenpakket.
Uw eigen security-server in een Nederlands datacenter. Agents via MSI/PKG/script op alle apparaten — installeerbaar met Group Policy.
24/7 monitoring loopt automatisch. Maandelijks rapport. Wij staan altijd voor u klaar bij incidenten. Sparring beschikbaar wanneer u wilt.